Czym jest NIST Cybersecurity Framework?
NIST Cybersecurity Framework (CSF) został pierwotnie opracowany w 2014 roku przez Narodowy Instytut Standardów i Technologii USA w odpowiedzi na rozporządzenie wykonawcze dotyczące poprawy cyberbezpieczeństwa infrastruktury krytycznej. CSF 2.0, opublikowany w lutym 2024 roku, stanowi najistotniejszą aktualizację od momentu powstania ram — rozszerzając zakres z infrastruktury krytycznej na wszystkie organizacje i dodając nową funkcję Zarządzania.
Funkcje NIST CSF 2.0
- Zarządzanie (Govern) — (Nowość w 2.0) Ustanowienie strategii, oczekiwań i polityk zarządzania ryzykiem cyberbezpieczeństwa.
- Identyfikacja (Identify) — Rozumienie aktywów, ryzyk i postawy cyberbezpieczeństwa organizacji.
- Ochrona (Protect) — Wdrażanie zabezpieczeń zapewniających świadczenie kluczowych usług.
- Wykrywanie (Detect) — Terminowa identyfikacja zdarzeń cyberbezpieczeństwa.
- Reagowanie (Respond) — Podejmowanie działań w związku z wykrytym zdarzeniem cyberbezpieczeństwa.
- Odzyskiwanie (Recover) — Przywracanie zdolności lub usług naruszonych przez zdarzenie cyberbezpieczeństwa.
Kto korzysta z dostosowania do NIST CSF?
- Wykonawcy federalni USA i dostawcy agencji rządowych USA
- Organizacje dążące do uzyskania CMMC (Cybersecurity Maturity Model Certification)
- Korporacje międzynarodowe poszukujące uniwersalnej linii bazowej cyberbezpieczeństwa
- Organizacje wykorzystujące NIST CSF jako podstawę raportowania cyberbezpieczeństwa na poziomie zarządu
- Firmy wymagające zgodności z NIST obok ISO 27001 lub SOC 2
NIST CSF a ISO 27001
NIST CSF i ISO 27001 mają znaczne pokrywanie koncepcyjne, ale służą różnym celom — NIST CSF jest dobrowolnymi ramami zarządzania ryzykiem, podczas gdy ISO 27001 to certyfikowalny standard systemu zarządzania. BALTUM zapewnia zintegrowane oceny, które mapują Państwa profil NIST CSF na mechanizmy kontroli Załącznika A ISO 27001, umożliwiając jedno wdrożenie spełniające wymagania obu ram.